Ransomware a la CNV: exclusivo, qué datos dice tener el grupo Medusa
El grupo listó entre sus víctimas a la Comisión Nacional de Valores de Argentina. Análisis del "file tree": hay nombres de archivos con lo que sería información muy sensible.
[Envío con información de último momento]
11 jun
🔒 El grupo de ransomware Medusa sumó a la CNV de Argentina entre sus víctimas
El grupo de ciberdelincuentes Medusa publicó entre sus víctimas este domingo a la Comisión Nacional de Valores (CNV), el organismo oficial que supervisa los mercados en la Argentina. Se trata del mismo cártel de ransomware que encriptó datos de Garbarino en marzo de este año, pide 500 mil dólares y da un plazo de una semana para publicar los datos.
Me contacté con la CNV para pedir declaraciones sobre el asunto, pero decidieron no hacer comentarios. Más tarde empezaron a compartir un comunicado con periodistas asegurando que “no se comprometió información sensible”.
Ahora bien, Medusa asegura que tiene 1.5 TB de información interna. Y es importante remarcar lo de “aseguran que tienen” porque, por el momento, lo único que se puede ver es el “file tree”, esto es, la representación visual de los archivos y su jerarquía (carpetas, imágenes, PDFs, ejecutables, etc.).
Por eso es incorrecto decir a ciencia cierta que “hackearon a la CNV” como titularon varios medios: lo que sí se puede decir es que aparecen como víctimas en el sitio de Medusa, accesible mediante la dark web.
Y que se puede ver qué archivos dicen que tienen: de ahí a que los tengan, todavía es algo que resta saber y que el tiempo lo confirmará.
SecOps habló con Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, empresa de seguridad informática, y experto en interpretar la información encriptada por ciberdelincuentes. Acá, su análisis:
Analizando el filetree (árbol de ficheros publicado por el actor de ransomware) vemos que - en principio - se trataría de una filtración que abarcar 8 volúmenes: uno etiquetado como CNS_MAIN, 5 como FS -filesystems, volúmenes/discos- y 2 como SQL (bases de datos).
En los volúmenes etiquetados como SQL se listan bases de datos cuyos nombres referencian al BackOffice de Prensa, Bolsa de Reportes, CAFirmantes, Calificadoras, Fideicomisos, Fondos Comunes, Invertir, RRHH, Registro, RESOL, CNV y CNVWeb, todas aludiendo también en su nombre que pertenecen a entornos de Producción.
En el volúmen "MAIN" los nombres de directorios y archivos aluden a información financiera, de recursos humanos, escaneos de documentos, y hasta planos en formato CAD.
En los demás encontramos directorios que mencionan Informes de a DyEMC, Intranet de la CNV, Comité de Seguridad, Comunicación Interna, Denuncias, Directorio de Prensa, Fichas de Sociedades, GDE, mesa Fintech, Mercosur, e incluso información sobre CEDEARS.
Particularmente uno de los volúmenes contiene información crítica de seguridad sobre la infraestructura, mencionando Logs de Firewalls y Proxies, incluyendo uno de la DMZ de ARSAT.
Como cierre, una carpeta llamada "hola" lista archivos en texto plano (DOC, PDF, Excel) con claves del organismo.
Esto, de corresponderse con contraseñas, reviste una pésima práctica de seguridad informática: guardar contraseñas en archivos de texto.
🕵 Sobre Medusa
"Medusa lleva operando desde mediados de 2021, pero ha aumentado su nivel de actividad en los últimos meses. El grupo comparte los datos robados de múltiples formas: en la Dark Web, la clearnet [internet accesible a cualquier usuario], Twitter, Facebook y por Torrent", contextualizó a este medio Brett Callow, experto en análisis de amenazas de Emsisoft.
"Tenemos pocos datos sobre quién está detrás de la operación o dónde tiene su sede, pero hay algunas pruebas que indican vínculos con Rusia o Ucrania", arriesgó. Según Crowdstrike, Turquía sería otro país con el cual tienen vínculos.
“Medusa ha listado entre sus víctimas a petroleras, aeronáuticas, casinos, organismos públicos, clínicas, escuelas e iglesias. En Argentina listó a Garbarino y este domingo, a la Comisión Nacional de Valores cuyo sitio estuvo en mantenimiento hace tan sólo 72 horas atrás”, sumó Eldritch.
Por último, Marcela Pallero, Responsable del Programa STIC de la Fundación Sadosky, interpretó qué debería hacer la CNV: por supuesto, comunicar este incidente o, en todo caso, aclararlo (o desmentirlo).
“La Comisión Nacional de Valores es un organismo descentralizado de la Administración Pública. Como el Banco Central, habría que ver si están obligados en la Decisión Administrativa 641/2021 de requisitos mínimos de seguridad de la información, o si la implementaron de manera voluntaria”, explicó.
“No obstante, por la regulación que ellos mismos tienen para algunos de sus regulados, se infiere que tienen personal que entienden de ciberseguridad. La pregunta sería si ellos mismos la aplican para su organismo (tienen una normativa desde 2017 sobre el tema)”, agregó la experta en regulaciones sobre seguridad de la información.
Horas más tardes de publicada la información en medios, la CNV emitió un comunicado en el que aseguró que “el incidente ocurrió el miércoles pasado y se contuvo", sin comprometer información sensible.
En 7 días se sabrá si esto es así o si ese file tree efectivamente se corresponde con los datos robados.